고정 헤더 영역
상세 컨텐츠
본문
Auditd는 리눅스 시스템의 보안 관련 정보를 감사할 수 있는 정보를 수집합니다. 수집하는 정보는 시스템 호출, 보안 이벤트, 파일 접근, 명령어 실행 등으로 해당 로그를 확인함으로써 보안 위협을 탐지하고 예방할 수 있습니다. 이번 포스팅에서는 Auditd 설정과 사용법에 대해 알아보겠습니다.
Auditd 설치와 설정 파일
▷ Auditd는 아래와 같이 설치를 진행 합니다.
# auditd 설치와 상태 확인
[root@localhost ~]# dnf -y install audit
# auditd 서비스 시작
[root@localhost ~]# systemctl start auditd
# 시스템 부팅시 자동 실행 설정
[root@localhost ~]# systemctl enable auditd
# auditd 서비스 상태 확인
[root@localhost ~]# systemctl status auditd
▷ Auditd 설정 파일 중 주요 설정 내용은 아래와 같습니다.
# auditd 설정파일
[root@localhost ~]# vi /etc/audit/auditd.conf
# 로그 경로
log_file = /var/log/audit/audit.log
# 로그 파일 사이즈
max_log_file = 8
# 로그 파일 수량
num_logs = 5
# 로그 파일 수량 도달 시 파일 로테이트 설정
max_log_file_action = ROTATE
# 원격 로그 수신 설정 여부
tcp_listen_port = 60
Auditd 원격 로그 수신 설정
▷ 관리하는 서버가 많아지면 Audit 로그를 개별 서버마다 접속해서 확인하는 것은 시간도 오래 걸리고 비효율적 입니다. 따라서 audit 로그를 한 곳으로 모아서 조회를 하면 조금더 수월하게 확인이 가능할 것입니다.
▷ Audit 로그를 수신할 서버와 Audit 로그를 보내는 서버의 테스트 정보는 아래와 같습니다. 서버 IP는 자신의 환경에 맞게 설정하면 됩니다.
▷ Auditd 로그 관리서버 설정은 아래와 같이 진행 합니다.
# auditd 원격 로그 수신 설정
[root@localhost ~]# vi /etc/audit/auditd.conf
##tcp_listen_port = 60
-->
tcp_listen_port = 60
# 설정 변경 후 서비스 재시작
[root@localhost ~]# service auditd restart
# firewalld 운영 중이면 auditd 포트 오픈 추가
[root@localhost ~]# firewall-cmd --add-service=audit --permanent
success
# firewalld 정책 적용을 위한 서비스 reload
[root@localhost ~]# firewall-cmd --reload
success
▷ Auditd 로그를 보낼 서버의 설정은 아래와 같이 진행 합니다.
# 플러그인 설정
[root@localhost ~]# dnf -y install audispd-plugins
# audit 로그 원격 전송 설정
[root@localhost ~]# vi /etc/audit/plugins.d/au-remote.conf
active = no
->
active = yes
# audit 로그 수신 원격 서버 설정
[root@localhost ~]# vi /etc/audit/audisp-remote.conf
remote_server =
->
remote_server = 10.0.2.4
# 현재 서버의 audit 로그 생성 중지 설정
[root@localhost ~]# vi /etc/audit/auditd.conf
log_format = ENRICHED
->
log_format = NOLOG
# 설정 적용을 위한 서비스 재시작
[root@localhost ~]# service auditd restart
▷ Auditd 로그 관리서버에서 로그 수신되는 것을 아래와 같이 확인할 수 있습니다.
# 서버에서 클라이언트 audit 로그 수신 확인
[root@localhost ~]# cat /var/log/audit/audit.log | grep 10.0.2.6
type=DAEMON_ACCEPT msg=audit(1610746309.869:1385): addr=::ffff:10.0.2.6 port=48282 res=success
type=DAEMON_CLOSE msg=audit(1610746474.891:1386): addr=::ffff:10.0.2.6 port=48282 res=success
type=DAEMON_ACCEPT msg=audit(1610746474.904:1387): addr=::ffff:10.0.2.6 port=48284 res=success
type=DAEMON_CLOSE msg=audit(1610746474.905:1388): addr=::ffff:10.0.2.6 port=48284 res=success
type=DAEMON_ACCEPT msg=audit(1610746494.815:1389): addr=::ffff:10.0.2.6 port=45394 res=success
▽ 같이 보면 더 좋은 블로그 글 ▽
[CentOS 8] 트립와이어(tripwire) 설치와 사용법
트립와이어(tripwire)는 시스템 파일 등 변조와 추가 등을 검사하는 무결성 검사 보안 도구 입니다. 무결성이란 정보(Data)가 인가된 사람만 접근 또는 변경이 가능하다는 것을 의미합니다. 의도치
mpjamong.tistory.com
[CentOS 8] firewalld 사용법
윈도우즈 OS에서 기본 제공하는 Windows Defender 방화벽과 같이 CentOS에서도 firewalld라는 이름으로 시스템 방화벽을 제공하고 있습니다. iptable이라는 방화벽도 있지만, 이번 포스팅에서는 firewalld 사
mpjamong.tistory.com
'Linux' 카테고리의 다른 글
| [CentOS 8] 파이썬3 설치하는 방법 (4) | 2021.01.25 |
|---|---|
| [CentOS 8] ausearch, aureport로 Auditd 로그 확인방법 (0) | 2021.01.17 |
| [CentOS 8] 트립와이어(tripwire) 설치와 사용법 (0) | 2021.01.15 |
| [CentOS 8] ClamAV 설치와 사용법 (2) | 2021.01.14 |
| [CentOS 8] firewalld 사용법 (6) | 2021.01.10 |
댓글 영역